Man hatte vollmundig angekündigt, die Accounts der REWE Bonus-Kunden mittels 2FA ordentlich schützen zu wollen. Doch das ist nicht passiert.
Unsere schlimmste Befürchtung und der schönste Traum eines jeden Online-Betrügers ist leider wahr geworden. Wir hatten bereits über die Möglichkeit berichtet, über gephishte Zugangsdaten Zugriff auf REWE Bonus-Accounts zu erhalten. Wir hatten auch mehrere Presseanfragen gestellt, auf die wir nur ausweichende Antworten bezüglich der Accountsicherheit erhalten haben.
REWE Bonus: Die neue 2FA-Funktion ist kein echtes 2FA!
Leider ist gestern genau das eingetreten, was ich im Artikel prophezeit hatte. Die „neue“ 2FA-Funktion, um vor unbefugtem Zugriff zu schützen, beschränkt sich wirklich nur auf den Erhalt einer E-Mail mit einem sechsstelligen Code. Das bezieht sich auf die voreingestellte 2FA-Funktion, die für die Kunden natürlich am bequemsten ist. Alternativ kann man den Code per SMS empfangen oder mit einer Authenticator‑App wie Google Authenticator, Microsoft Authenticator etc. generieren. Doch per Voreinstellung landet lediglich im eigenen E-Mail-Postfach der Code für den Login.
Hallo, das ist kein 2FA-Verfahren! Das schafft jeder Trottel, der Dritten mit wenig Aufwand Geld klauen will: Sobald der Code da ist, einfach die E-Mail abgreifen, löschen – und für den legitimen Besitzer ist nichts mehr sichtbar, außer zu dem Zeitpunkt, an dem er sieht, dass alles gesparten Boni (also sein Geld) weg ist. Es tauchen immer wieder riesige Datensätze mit geklauten Zugangsdaten diverser E-Mail-Anbieter auf. Die müssen Cyberkriminelle nur auf spezielle Suchbegriffe hin durchsuchen, denn jedem REWE Bonus-Kunden stellt man per E-Mail nach dem Einkauf einen digitalen Kassenbon zu. Sowohl der Betreff als auch der Absender sind ausreichend, um solche Benachrichtigungen von anderen E-Mails automatisch zu unterscheiden. Dann weiß der Hacker bereits, dass es sich lohnen könnte, die Bonuspunkte in einer REWE-Filiale im Rahmen eines Einkaufs von einem Läufer abgreifen zu lassen.
Account-Sicherheit sieht anders aus!
Nach dem Login erhält man die Möglichkeit, optional eine Telefonnummer zu hinterlegen, doch das ist für die Sicherheit der Konten bei weitem nicht ausreichend. Die Angabe der eigenen Handynummer sollte verpflichtend sein für alle Kunden, weil sie möglicherweise ihr Account-Passwort verlegen oder keinen Zugriff mehr auf ihr E-Mail-Postfach haben.
Anstatt den Zugang zeitgemäß abzusichern, bietet man den Kunden einen Button mit der Option „Jetzt nicht“ an. Tja, so schafft man keine Accountsicherheit. Die ganze Problematik besteht ohne eine Pflicht zu einem echten 2FA-Verfahren weiterhin. Die Gefahr bleibt somit leider bestehen, dass jeder jugendliche Cyberkriminelle weiterhin auf Kosten der REWE Bonus-Kunden einkaufen gehen können.
Es ist sehr gut, dass REWE unseren Artikel gelesen und womöglich den Ratschlag einer SMS-Verifikation angenommen hat. Diese sollte jedoch nicht optional, sondern zwingend sein, so wie es bei den meisten anderen Accounts heutzutage der Fall ist. Natürlich ist es unbequem, die Kunden dazu zu zwingen eine zusätzliche App zu nutzen oder auf den Erhalt des Codes per SMS zu warten. Doch nur so kann man zuverlässig verhindern, dass mit den Bonus-Guthaben Schindluder betrieben wird. Übrigens bietet man die Option der optionalen Nutzung der Authentificator-App innerhalb der REWE App derzeit noch nicht an. Doch davon ist auf der eigenen Webseite die Rede.
Die Verantwortung sollen Dritte übernehmen
Nach den Standardphrasen der Antworten des Presseteams der REWE Group, haben wir leider nichts anderes erwartet. Man schrieb uns, die IT-Sicherheit der Mail-Anbieter betreffe Systeme außerhalb ihres Verantwortungsbereichs. Das würde wahrscheinlich auch zutreffen, wenn Kunden sich dazu entschließen sollten, ihre Passwörter gleich mehrfach zu benutzen. Aber warum trägt man dann für den Betrug keine Verantwortung mehr? Es wäre doch so einfach, dafür zu sorgen, dass das 2FA-Sicherheitsverfahren seinen Namen zu Recht verdient. Oder fürchtet man, die Bonus-Systeme der Konkurrenz könnten von den Kunden bevorzugt werden, weil es dort bequemer abläuft?
Ich persönlich finde, es ist mindestens grob fahrlässig, den Kunden die Verantwortung (Schuld) zuzuschieben, anstatt selbst eine Methode in sein System einzubauen, um die Accounts der Kunden zu schützen. Wenn man schon SMS optional einführt, um Geld zu sparen, sollte man die E-Mail-Adressen der Kunden mit geleakten Mailinglisten, zum Beispiel von haveibeenpwned.com oder dem Leak-Checker vom HPI, abgleichen. Dann könnte man die Kunden darüber informieren, dass ihre E-Mail-Adresse gehackt wurde und sie zeitnah ihr Passwort ändern müssen. So einfach, wie sich REWE das denkt, kommen sie nach meiner Meinung nicht aus ihrer Verantwortung, was die Accountsicherheit ihrer Bonus-Kunden betrifft. Aber gut, man kann es ja mal versuchen.
In Deutschland dürfen wir leider nur vergleichsweise vorsichtig darüber berichten. Wir müssen aufpassen, dass wir für unsere offene Berichterstattung keine Unterlassungsklage aufgrund einer möglichen Rufschädigung kassieren. Doch dabei kann jeder anhand unserer Screenshots sehen, dass die Fakten zutreffen. Hätten wir im Ausland berichtet, würden wir womöglich ein großzügiges Bug Bounty und ein NDA erhalten. Erklärung: Ein NDA ist ein Non-Disclosure Agreement, also eine Geheimhaltungsvereinbarung.
REWE Bonus: Wie viel ist von den ursprünglichen Ankündigungen übrig geblieben?
REWE kündigte über die öffentlich-rechtlichen Medien wie den NDR an, dass man sich um die Sicherheit der Kundendaten und Accounts kümmert. Doch was ist bitteschön davon übrig geblieben? Ein 2FA-Code per E-Mail, den man dem Phisher gleich mit in die Hand drückt. Dazu kommen zwei optionale Optionen per Authentifizierungs-App und SMS. Ich finde, da es keinen Zwang zur echten 2FA-Nutzung gibt, ist nicht viel mehr als heiße Luft bzw. Werbung in eigener Sache übrig geblieben, wenn es bei REWE um das Thema Account-Sicherheit geht.
Selbstverständlich haben wir die Verbraucherzentrale Bundesverband wegen dieser Thematik kontaktiert. Dies geschah bereits, bevor wir den ersten Artikel geschrieben haben. Bislang haben wir jedoch noch keine Antwort erhalten. Eine neue Anfrage, die die Regeländerung ergänzt, ist raus. Sollten wir eine Antwort erhalten, werden wir selbstverständlich den Beitrag ergänzen.
Spenden für weitere intensive Recherchen
Da solche Recherchen mit erheblichem Aufwand, massiven Risiken und Kosten verbunden sind, möchte ich euch sehr gerne bitten, für solche Dinge zu spenden. Bis jetzt hat sich wieder einmal niemand außer uns getraut, offen auf diese Missstände hinzuweisen.
Vielleicht wäre es eine gute Idee, dass die Spender im Forum über den Einsatz der gespendeten Gelder abstimmen können. Dann könntet ihr bestimmen, in welche Richtung unsere Recherchen gehen sollen. Wir würden dann, soweit es unser Wissen, die Zeit und die Finanzen erlauben, entsprechende Nachforschungen anstellen.
